2.8. 集群安全性

PLAIN

BASIC

尽管 PLAIN 和 BASIC 是最快的身份验证机制，但它们也是最不安全的。您应该只与 TLS/SSL 加密结合使用 PLAIN 或 BASIC。

DIGEST 和 SCRAM

摘要

对于 Hot Rod 和 HTTP 请求，DIGEST 方案使用 MD5 哈希算法来哈希凭证，因此不会以纯文本形式传输它们。如果您没有启用 TLS/SSL 加密，那么使用 DIGEST 的资源密集型比 PLAIN 或 BASIC 的增强性能比未安全，因为 DIGEST 容易受到 monkey-in-the-middle (MITM)攻击和其他入侵的情况。

对于 Hot Rod 端点，SCRAM 方案类似于 DIGEST 的额外级别保护，这可以提高安全性，但需要额外的处理时间才能完成。

GSSAPI / GS2-KRB5

SPNEGO

Kerberos 服务器（密钥分发中心(KDC)）处理用户的身份验证和问题令牌。数据网格性能优势是一个独立的系统处理用户身份验证操作。但是，根据 KDC 服务本身的性能，这些机制可能会导致网络瓶颈。

OAUTHBEARER

BEARER_TOKEN

实施 OAuth 标准以向 Data Grid 用户发布临时访问令牌的联合身份提供程序。用户使用身份服务进行身份验证，而不是直接向 Data Grid 进行身份验证，并将访问令牌作为请求标头进行传递。与直接处理身份验证相比，数据网格具有较低的性能来验证用户访问令牌。与 KDC 类似，实际性能影响取决于身份提供程序本身的服务质量。

EXTERNAL

CLIENT_CERT

您可以向 Data Grid 服务器提供信任存储，以便它通过比较客户端与信任存储提供的证书来验证入站连接。

如果信任存储仅包含签名证书（通常是证书颁发机构(CA)），则任何提供由 CA 签名的证书的客户端都可以连接到 Data Grid。这可提供较低的安全性，并容易受到 MITM 攻击的影响，但比验证每个客户端的公共证书要快。

如果信任存储除签名证书外还包含所有客户端证书，则只有信任存储中存在的签名证书的客户端才可以连接到 Data Grid。在本例中，数据网格与客户端提供的证书对比了通用名称(CN)，同时验证证书是否已签名，增加更多的开销。